by 安全扫描
OpenClaw
安全
high confidence该技能的代码、指令和请求的凭证(KEYAPI_TOKEN)与其声明的目的(调用 KeyAPI 的 MCP LinkedIn 服务)一致,但它会本地持久化 API 令牌和缓存结果,因此使用前应考虑隐私和合规性。
评估建议
该技能似乎做了它声称的:调用 KeyAPI 的 MCP 获取 LinkedIn 用户数据,仅需 KEYAPI_TOKEN 和 Node.js。安装前:(1)验证 KeyAPI 服务和令牌源;(2)注意运行器将 KEYAPI_TOKEN 保存到技能目录的 .env 文件,并将缓存 API 响应写入 .keyapi-cache,这些文件可能包含敏感个人信息(PII)或凭证;(3)确认您有合法的抓取同意和使用收集的联系数据符合隐私政策和 LinkedIn 条款;(4)在本地检查 package.json 和 scripts/run.js,并考虑在隔离环境或容器中运行;(5)如果您不想持久化令牌,请为会话设置 KEYAPI_TOKEN 环境变量,并避免交互式提示/保存行为。...详细分析 ▾
✓ 用途与能力
名称/描述(LinkedIn 用户分析)与实现匹配:一个使用 KEYAPI_TOKEN 和 @modelcontextprotocol/sdk 调用 KeyAPI MCP 服务器的 Node.js 运行器。所需的二进制文件(node)和依赖项与任务成比例,没有无关的云凭证或二进制文件。
ℹ 指令范围
SKILL.md 指示运行 npm install 和针对 KeyAPI MCP 服务器的 node 运行器。运行时还加载/保存 .env 文件,将缓存响应写入 .keyapi-cache,并可以写入输出文件 — 所有这些对于 CLI 工具来说都是在范围内的,但这意味着个人资料数据(可能是 PII)和令牌可能存储在磁盘上。
✓ 安装机制
注册表中没有自动安装规格;需要用户运行 npm install。唯一的依赖项是从 npm 的 @modelcontextprotocol/sdk,这对于 MCP 客户端来说是预期的。在包含的文件中没有找到远程任意二进制下载。
ℹ 凭证需求
仅需要 KEYAPI_TOKEN 并将其指定为 primaryEnv,这是合适的。然而,工具将令牌持久化到技能目录的 .env 文件(未加密)并缓存本地 API 响应 — 这增加了凭证或收集的个人资料数据意外泄露的风险。
✓ 持久化与权限
该技能不请求 always:true 且不修改其他技能。它在技能目录内持久化自己的 .env 和缓存文件(对于 CLI 工具来说是正常的),这不是一个高级平台权限,但值得注意的是数据保留。
⚠ scripts/run.js:52
环境变量访问与网络发送结合。
⚠ scripts/run.js:37
文件读取与网络发送结合(可能的数据外泄)。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/2
keyapi-linkedin-user-analytics 初始版本发布。- 启用 LinkedIn 用户和专业人士的发现、配置和深度分析。- 支持检索全面信息:简历、联系信息、帖子、经验、教育、技能、认证、出版物、荣誉、推荐、兴趣和内容活动。- 提供清晰的使用文档、先决条件和如何调用每个端点。- 引入了一个统一的、缓存优先的工作流程,用于高效的 LinkedIn 用户分析。- 构建用于使用 KeyAPI MCP 服务,需要 KEYAPI_TOKEN 和 Node.js v18+。
● 无害
安装命令 点击复制
官方npx clawhub@latest install keyapi-linkedin-user-analytics
镜像加速npx clawhub@latest install keyapi-linkedin-user-analytics --registry https://cn.clawhub-mirror.com
技能文档
简介
深入分析 LinkedIn 用户,包括专业简历、联系信息、工作经验、教育背景、技能、出版物等。通过 KeyAPI 的 MCP 服务,提供全面用户数据分析。使用指南
- 安装依赖:
npm install - 运行:
node scripts/run.js
端点调用
请参阅 SKILL.md 原文 获取详细使用文档和端点调用方法。注意
- 请确保您有合法的抓取同意和使用收集的联系数据符合隐私政策和 LinkedIn 条款。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制